Secunia ha anunciado el hallazgo de una nueva vulnerabilidad JavaScript que afecta a casi todos los navegadores y permite a sitios maliciosos presentar al usuario cuadros de diálogo que parecen proceder de sitios legítimos y pueden solicitar contraseñas de acceso a banca on-line y similares.
Están afectados Internet Explorer, Firefox, Opera, Safari, Mozilla, etc...
Como suele ser habitual en Secunia, en la página arriba referenciada está disponible una demostración donde cualquier usuario puede comprobar si su navegador está o no afectado.
Konqueror 3.4.1 inmune
Reverendo (no verificado)24 Junio 2005 - 7:41pm
Nuestro humilde navegador de KDE muestra la URL en la barra de títulos de la dichosa ventanita, por lo que hay que ser muy despistado para no darse cuenta de que te la están colando.
Y no es la primera vez que Konqueror da sopas con honda en seguridad a Explorer y Firefox.
Se abre otra ventana
israelem23 Junio 2005 - 3:26pm
En win XP con firefox 1.0.5 se abre otra ventana como le ocurria al anterior de gnome. Tengo el bloqueo de pop-up activado, pero no dice nada. Y secunia no está en mi lista de sitios permitidos.
Espero un parchecito pronto ;)
Proxomitron es Dios...
bergonzini23 Junio 2005 - 8:11pm
IE+Proxomitron: inmune
Mozilla+Proxomitron: inmune
Opera+Proxomitron: inmune
Proxomitron vela por mi...
________________________________________________________
Alex Bergonzini :: http://www.bergonzini.com
*** GPG Public Key available
Pero Dios no existe...
fern (no verificado)23 Junio 2005 - 8:18pm
Si tu navegación se realiza siempre a través de un proxy, a los posibles bugs el navegador has de unir los posibles bugs del proxy (y proxomitron tampoco está sin ellos, por ejemplo).
Vale, entonces su profeta.
bergonzini26 Junio 2005 - 2:33pm
Vale, tal vez no sea un auténtico dios por disponer de bugs, no obstante, pero si que es un profeta.
Proxomitron, no es un proxy como todos los demás, si te has molestado en buscar sus bugs, seguro que también habrás leido un poco más allá y te habrás dado cuenta que gracias a él muchos de los bugs que atacan directamente son inútiles si proxo (para los amigos) está activo. Y si sólo has buscado los bugs, te recomiendo que leas un poco más de estas herramienta ;)
Resulta curioso comprobar como cuando alguien descubre un bug y vas a probarlo con el navegador afectado siempre tienes que desactivar a proxo para ver sus efectos, ya que este te proteje de dichos bugs.
OK, la utilización de herramientas encadenadas puede provocar errores encadenados, no obstante si los herrores no están en el mismo sentido resulta difícil que estos lleguen a producirse.
Yo confio en Proxo
________________________________________________________
Alex Bergonzini :: http://www.bergonzini.com
*** GPG Public Key available
¿Firefox?
JoseLo22 Junio 2005 - 11:03pm
A mí me sale un mensaje en la parte superior de la página de secunia que dice:
"Firefox evitó que este sitio abriera una ventana emergente. Pulse aquí para las opciones..."
No recuerdo ahora que extensión u opción de configuración es la que bloquea los pop-ups, pero está claro que si lo blindas bien Firefox se porta :)
--
Por lo menos yo voté que NO.
Firefox.
Reverendo (no verificado)22 Junio 2005 - 11:06pm
Firefox 1.1 en windows. Opción "Bloquear Pop-ups" activada.
Pese a todo, vulnerable.
Pa' más señas
Reverendo (no verificado)22 Junio 2005 - 11:07pm
http://secunia.com/advisories/15489/
Firefox 1.0.4+NoScript
JoseLo22 Junio 2005 - 11:21pm
Puede que Firefox con la configuración por defecto y sin extensiones instaladas sea vulnerable, pero bien configurado y las extensiones adecuadas la cosa cambia.
Se puede instalar NoScript y activar la ejecución de javascript para sólo para los sitios de confianza. Es más he tenido que permitir la ejecución de scripts para secunia.com para poder ver de qué se estaba hablando.
--
Por lo menos yo voté que NO.
Define "extensiones adecuadas"
fern (no verificado)22 Junio 2005 - 11:26pm
Cuando se habla de que un navegador es vulnerable no se habla -en general- de posibles añadidos que no forman parte suya.
Por cierto, que también tendrías que definir "bien configurado" porque el mío lo está y palma.
1.0.4-WinXP.
Es difícil, pero..
JoseLo23 Junio 2005 - 12:36am
..las adecuadas son las relativas a la seguridad: manejo de cookies, ejecución de scripts, bloqueo de pop-pups,..
Ejemplos: CookieCuller, SpoofStick, SwitchProxy, AdBlock, NoScript, TrustBar,.. Y dentro de poco Outfoxed
Lo de la configuración es un poco más complicado, pero se basa en el mismo concepto: no permitir que otros controlen tu navegador.
Por último: Firefox está concebido desde sus orígenes para ser extendido, por eso sus extensiones no deberían considerarse como añadidos.
--
Por lo menos yo voté que NO.
uffff
sorthak22 Junio 2005 - 4:06pm
El primero que me ha colado.. firefox 1.0.4, netcraft, privoxy y tor.. pues nada, a esperar el correspondiente parche.
GNU/Linux Powered.
No creo que realmente sea una vulnerabilidad
jonsito22 Junio 2005 - 11:14am
Por lo que he visto, la vulnerabilidad consiste en que desde una ventana se pueden visualizar las propiedades de otra, y disfrazar así un popup para que parezca que viene de la "atacada" en lugar de la real
Para que esta vulnerabilidad sea efectiva, el atacado debe partir de una página "mala", y siguiendo los enlaces desde dicha página ir a la "buena".
Conclusión 1: Cuidado por donde vas
- Teclear siempre "a pelo" las direcciones sensibles
- O mejor aún: usar los bookmarks, que para eso están
Conclusión 2: No te fíes nunca de los enlaces.
- Comprueba siempre en la barra de estado donde apuntan realmente, antes de hacer click
Conclusión 3: vigila la barra de tareas.
- En el ejemplo de secunia, aunque aparentemente solo había una ventana abierta, en mi escritorio gnome me aparecían _dos_ ventanas
En mi opinión: realmente esta no es una vulnerabilidad, sino un ataque de "ingeniería social"
Para la discusión:
¿Es un fallo de seguridad permitir que desde una ventana del navegador se puedan leer o modificar las propiedades de las demás ventanas?
¿qué propiedades deberían bloquearse?
Hay que tener en cuenta que para los que hemos trabajado con frames y ventanas multiples, el acceso/modificación de unas sobre otras es una tarea de lo más común....
Totalmente de acuerdo contigo
nestorhr22 Junio 2005 - 12:42pm
Totalmente de acuerdo contigo en la apreciación de ingeniería social. Una persona poco avezada podría caer en la trampa, pero al igual que ocurre con otras ventanas con look "XP" que te dicen que si tu ordenador está en peligro, que si es una encuesta... Con un poco de atención en lo que se hace no debería suponer un problema. O como que un supuesto banco te mande un correo para pedirte tus claves. ¿Habría que interpretarlo como una vulnerabilidad en el cliente de correo? Por favor...
Acceder y modificar desde una ventana del navegador otra ventana es algo muy habitual en el desarrollo web. Y no sólo habitual, sino necesario.
Ahora ya podemos empezar...
tsao22 Junio 2005 - 12:10am
...el flame típico modo texto vs. modo gráfico :-D
lynx...
tsao22 Junio 2005 - 12:09am
http://lynx.browser.org/
... para una Internet que cumple standards. Para una inmensa minoria ;-)
Sorprendente
Dr Juzam21 Junio 2005 - 11:59pm
Ya se que es imposible hacer un software 100% a rueba de errores, y menos aún invulnerable al ingenio humano, pero es resulta sorprendente la periodicidad con la que salen bugs y no sé si es que se hacen mal los programas o es que cada día los que nos la quieren meter son más espabilaos. En fin, espero el parche, como siempre (que deja vu!).
____
Me interesa el futuro porque es el sitio donde voy a pasar el resto de mi vida.
- Woody Allen
Firefox 1.1 también pica
Memantina (no verificado)21 Junio 2005 - 10:55pm
Mucho Deer Park y mucha leche pero también traga con la demo de los c******!